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Verfahren zur Umschaltimg zwischen wenigstens zwei Betriebsmodi einer 
ProzessoTeinheit sowie entsprechende Prozessoreinheit 

Stand der Technik 

Die Erfindung geht aus von einem Verfahren zur Umschaltung zwischen wenigstens zwei 
Betriebsmodi einei: Prozessoreinheit sowie eiiier entsprechehden Prozessoreinheit mit 
wenigstens swei integrierten Ausfuhrungseinheiten gemaB den Oberbegriffen der 
unabhSngigen Ansprttche. 

Solche Prozessoreinheiten mit wenigstens zwei integrierten Ausfuhrungseinheiten sind 
auch als Dual-Core- oder Multi-Core-Architekturen bekannt. Solche Dual-Core- oder 
Multi-Core-Architekturen werden nach heutigem Stand der Technik hauptsachlich aus 
zwei Griinden vorgeschlagen: 

Zum Einen kann damit eine Leistungssteigerung, also eine Performance-Steigerung 
erreicht werden, indem die beiden Ausfuhrungseinheiten oder Cores als zwei 
Recheneinheiten auf einem Halbleiterbaustein betrachtet und behandelt werden. In dieser 
Konfiguration bearbeiten die zwei Ausfuhrungseinheiten oder Cores unterschiedliche 
Prograrmne respektive Tasks. Dadurch iSsst sich eine Leistungssteigerung erzielen, 
weshalb diese Konfiguration als Leistungsmodus oder Performance-Mode bezeichnet 
wird. 

Der zweite Grund, eine Dual-Core- oder Muhi-Core-Architektur zu realisieren, ist eine 
Sicherheitssteigerung, indem die beiden Ausfuhrungseinheiten redundant das gleiche 
Programm abarbeiten. Die Ergebnisse der beiden Ausfuhrungseinheiten oder CPUs, also 
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Cores werden verglichen und ein Fehler kann bei dem Vergleich auf Obereinstimmung 
erkannt werden. Im Folgenden wird diese Konfiguration als Sicherheitsmodus oder 
Safefy-Mode bezeichnet. 

Im AUgemeinen sind die beiden genannten Konfigurationen exklusiv auf der Dual- oder 
Multi-Core-Architektur enfhalten, d. h. der Rechner mit den wenigstens zwei 
Ausftthrungseinheiten, wird prinzipiell nur in einem Modus betrieben, dem Performance- 
Modus oder dem Safety-Modus. 

Aufgabe der Erfindung ist es, pinen kombinierten Betrieb einer solchen Dual- oder Multi- 
Core-Prozessoreinheit bezQglich wenigstens zweier Betriebsarten zu ermoglichen und 
dabei eine optimierte Umschaltstrategie, insbesondere zwischen einem Sicherheitsmodus 
zur Sicherheitssteigerung und einem Leistungsmodus zur Leistungssteigerung zu 
erzielen. 

Vorteile der Erfindung 

Es ist zum Einen aus Sicherheitsgriinden eine redundante Ausfuhrung der Programme 
respektive Tasks erwiinscht, andererseits ist aus Kostengriinden das Bereithalten von 
redundanter Hardware bei der AusfOhrung der nicht sicherheitskritischen Funktionen 
nicht erstrebenswert Dieser Zielkonflikt wird erfindungsgemSB durch eine optimierte 
Umschaltung zwischen wenigstens zwei Betriebsmodi xmd einer Prozessoreinheit gel5st. 
So geht die Erfindung von einem Verfahren zur Umschaltung zwischen wenigstens zwei 
Betriebsmodi einer Prozessoreinheit mit wenigstens zwei Ausfiihrungseinheiten sowie 
entsprechender Prozessoreinheit aus. 

Vorteilhafler Weise wird die Umschaltung von einem ersten in einen zweiten 
Betriebsmodus dadurch realisiert, dass auf eine vorgegebene, als Umschalttrigger 
wirkende Speicheradresse zugegriflfen wird. D, h, es werden Hardwarekomponenten wie 
Umschaltmittel (Mode Selektor) oder Vergleichsmittel und ein entsprechendes Verfahren 
vorgestellt, wie im Betrieb zwischen sicherheitskritischen Programmen, welche also im 
Sicherheitsmodus redundant ausgefUhrt werden und nicht sicherheitskritischen 
Programmen, welche im Leistungsmodus unabhangig voneinander auf beiden 
Ausfiihrungseinheiten ausgeflihrt werden, optimal umgeschaltet werden kann. 
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Dabei werden die gleichen Programme im ersten Betriebsmodus durch die wenigstens 
zwei Ausfuhrungseinheiten synchron abgearbeitet mid dm-ch vorgesehene 
Vergleichsmittel dahingehend uberprttft, dass die bei der Abarbeitimg der gleichen 
Programme entstehenden ZustSnde der AusfUhnmgseinheiten ubereinstimmen. Bei 
Abweichungen diesbezuglich sind dami verschiedene Fehlerreaktionen von einer 
Fehleranzeige iiber einen Notbetrieb bis bin zur Abschaltimg der fehlerhaften Einheit 
denkbar. 

In einer speziellen Ansfuhrimgsform entspricht dem ersten Betriebsmodus der 
Sicherheitsmodus mid dem zweiten Betriebsmodus der Leistungsmodus. Eine 
Umschaltung vom zweiten Betriebsmodus in den ersten Betriebsmodus erfolgt dabei 
zweckmSBiger Weise durch eine Unterbrechxmgsanforderung, insbesondere ausgelbst 
durch ein Unterbrechungsmittel, wobei die Unterbrechungsanforderung einerseits durch 
eine Zeitbedingung ausl5sbar ist oder auch durch eine Zustandsbedingung, also einem 
bestimmten Zustand wenigstens einer der beiden Ausfuhrungseinheiten oder auch dem 
Auftreten eines bestutnmten Ereignisses entspricht. 

Vorteilhafter Weise erfolgt eine spezielle Aufteilung in wenigstens drei getrennte 
Speicherbereiche, wobei die Ausfuhrungseinheiten abhangig vom jeweiligen 
Betriebsmodus auf einen ersten Speicherbereich oder einen zweiten Speicherbereich 
Zugriff haben, respektive mit diesem in Verbindung stehen. Dabei ist zweckmaBiger 
Weise in einer speziellen Ausftthrungsform jeder der wenigstens zwei 
Ausfuhrungseinheiten jeweils ein erster Speicherbereich auf der Prozessoreinheit 
zugeordnet, mit welchen diese im ersten Betriebsmodus, also insbesondere dem 
Sicherheitsmodus, in Verbindung stehen bzw. darauf zugreifen. Im zweiten 
Betriebsmodus haben beide Ausfuhrungseinheiten nur auf einen, beiden 
Ausfuhrungseinheiten zugeordneten zweiten Speicherbereich Zugriff bzw. stehen mit 
diesem in Verbindung. 

ZweckmaBiger Weise sind nun tJberwachungsmittel, insbesondere die Umschaltmittel 
selber derart vorgesehen, dass iiberwacht wird, dass im jeweiligen Betriebsmodus nur auf 
die entsprechenden Speicherbereiche zugegriffen wird bzw. die entsprechende 
Verbindung zu den Speicherbereichen besteht. D. h. im zweiten Betriebsmodus greifen 
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die Auswertemittel nur auf den zweiten Speicherbereich zu und nicht auf die ersten 
Speicherbereiche, und im ersten Betriebsmodus erfolgt der Zugriff nur auf die jeweiligen 
ersten Speicherbereiche, und nicht auf den 2;weiten Speicherbereich^ was durch 
vorgenannte Oberwachungsmittel iiberprOft und in eventuell entsprechende 
Fehlerreaktionen wie Fehlermeldung, Notbetrieb oder Abschaltung sanktioniert wird. 

Dabei ist jeder der genannten drei Speicherbereiche, also die wenigstens zwei ersten 
Speicherbereiche sowie der zweite Speicherbereich in einem getrennten Speicherbaustein 
vorgesehen, so dass wenigstens drei Speicherbausteine auf der Prozessoreinheit zur 
Verfugung stehen. Dabei sind zweckmMfiiger Weise die sicherheitskritischen Programme 
jeweils in einem ersten Speicherbereich, und die nicht sicherheitskritischen Programme 
im zweiten Speicherbereich abgelegt, wobei zweckmaBiger Weise die vorgegebene 
Speicheradresse, welche die genannte Triggerfunktion bezQglich der Umschaltung 
aufweist, in dem zweiten Speicherbereich enlfaalten ist. 

Ein weiterer Vorteil ergibt sich, wenn fUr den Vergleich der ZustSnde der 
Ausfuhrungseinheiten im ersten Betriebsmoidus explizite Vergleichsmittel auf der 
Prozessoreinheit vorgesehen sind und diese Vergleichsmittel nur im ersten 
Betriebsmodus in Funktion sind und beim tJbergang in den zweiten Betriebsmodus auBer 
Funktion gesetzt werden, so dass im nichtredundanten, nicht sicherheitskritischen Betrieb 
kein Vergleich und damit keine unter UmstSnden provozierte Fehlerreaktion erfolgt. 

Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus den Merkmalen der 
Anspriiche sowie den Inhalten von Beschreibimg imd Zeichnung. 

Zeichnung 

Die Erfindung wird nachfolgend anhand der in der Zeichnung dargestellten Figuren nMher 
erlautert. Dabei zeigt 

Figur 1 eine erfindungsgemafie Prozessoreinheit mit wenigstens zwei 
Ausfuhrungseinheiten und den erfindungsgemaBen Hardwarekomponenten. 
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Figur 2 offenbart eine Umschaltung vom Sicherheitsmodus in den Leistungsmodus, 
wohingegen 

Figur 3 eine Umschaltung vom Leistungsmodus in den Sicherheitsmodus darstellt. 
Beschieibung der Ausflihrungsbeispiele 

In Steuerungsanwendungen, insbesondere auf dem Gebiet der Kraflfahrzeugsteuerung, 
wie Motorsteuerung, Bremsensteuerung oder auch Lenkung und Getriebe usw., aber 
ebenso in Industrieanwendungen wie der Automatisierung oder im 
Werkzeugmaschinenbereich gibt es im Allgemeinen Softwaretasks oder ProgranMne, die 
eine redundante Ausfuhrung aus SicherheitsgrQnden erfordem, um das Auftreten von 
Fehlem zu erkennen. Solche sicherheitskritischen Anwendimgen weisen aber neben 
diesen sicherheitskritischen Programmen auch Softwarebestandteile oder Programme auf, 
die auch fehleriiaft sein dtirfen, da sie nicht ftir das Erbringen der sicherheitskritischen 
Funktion selbst notig sind bzw. damit befasst sind, sondem nur eine zus^tzliche Fxmktion, 
insbesondere erne Komfortfunktion erbringen. Aus SicherheitsgrOnden ist eine 
redundante Ausfuhrung erwiinscht, aus KostengrOnden das Bereiflialten von redundanter 
Hardware nicht erstrebenswert. ErfindungsgemaB wird diese Problemstellung durch das 
optimierte Umschalten zwischen wenigstens zwei Betriebsmodi, der Prozessoreinheit, 
wie bereits in den Vorteilen beschrieben und nachfolgend nSher erl^utert, gelost. 

Somit wird un Folgenden der Einsatz der Erfindung in einem sicherheitskritischen 
System, beispielsweise einem fahrzeugimmanenten System wie Bremse, Lenkung, 
Getriebe oder Motor dargestellt. Die erfindungsgemSBe Prozessoreinheit des Systems 
besteht dabei aus einer Dual-Core-Architektur entsprechend Figur 1, also einer 
Prozessoreinheit 100 mit wenigstens zwei Ausfiihrungseinheiten 101 und 102 (CPUl und 
CPU2). Den beiden AusfUhrungseinheiten 101, 102, also CPUl und CPU2 sind in diesem 
Beispiel jeweils ein Arbeitsspeicher 110 bzw. Ill zugeordnet, auch als RAMI und 
RAM2 bezeichnet. Beide Ausfiihrungseinheiten 101 vmd 102 sind mit einem 
Vergleichsmittel, einem Vergleicher 170 verbunden. Jede Ausfuhrungseinheit hat 
weiterhin eine Verbindung zu einem Umschaltmittel, einem Mode-Selektor 130 bzw. 
131, mit weichem auch der Vergleichsbaustein, das Vergleichsmittel 170 Verbindungen 
aufweist. tJber jeweils einen Bus 140 bzw. 141 ist der jeweils fliichtige Arbeitsspeicher 
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110 bzw. Ill sowie die Umschaltmittel 130 und 131 mit jeweils einem ersten 
Speichermittel 150 bzw. 151 sowie einem zweiten Speichermittel 180 verbunden. 

In diesem Ausflihningsbeispiel werden zwei Betriebssysteme verwendet, eines fttr die 
sicherheitskritischen Programme oder Tasks imd eines fur die nicht sicherheitskritischen 
Progranmie oder Tasks. Als Betriebssystem fttr die sicherheitskritischen Programme wird 
beispielsweise OSEKtime OS, und als Betriebssystem fiir die nicht sicherheitskritischen 
Tasks beispielsweise OSEK OS verwendet. 

Die Anwendungssoftware ist, wie bereits erwahnt, aufgeteilt in sicherheitskritische 
Programme und nicht sicherheitskritische Programme. AUe Programme oder Tasks, die 
als nicht sicherheitskritisch eingestuft sind, diirfen versagen, fehlerhaft ausgefuhrt oder 
iiberhaupt nicht ausgefUhrt werden. Eine Ge&hrdung des Gesamtsystems bzw. der 
Umgebung ist dadurch nicht mdglich. Der sichere Betrieb des Gesamtsystems wird 
alleine durch die als sicherheitskritisch eingestuften Programme respektive Tasks 
m5glich. Allerdmgs besteht die Moglichkeit, dass der Betrieb, sofem er alleine durch die 
sicherheitskritischen Tasks bzw. Programme durchgefiihrt wird, zu einem 
Qualitatsverlust der Gesamtfunktion fiflirt, die allerdings innerhalb vorgebbarer 
Toleranzen als tolerierbar eingestuft wurde. 

Die sicherheitsrelevanten, also die sicherheitskritischen Tasks bder Programme werden 
redundant auf beiden Ausflihrungseinheiten 101 und 102, also beiden CPUs, CPUl und 
CPU2 ausgefUhrt. Dabei werden diese Programme unter der Kontrolle des ersten 
Betriebssystems, hier OSEKtime OS abgearbeitet. Dazu ist der m Figur 1 dargestellte 
nicht flilchtige Speicherbereich 150 bzw. 151 in zwei Telle verdoppelt, so dass 
entsprechend zweier AusfOhrungseinheiten zwei erste Speicherbereiche 150 und 151 
vorliegen. In diesen ersten Speicherbereichen liegen die sicherheitskritischen Programme 
respektive Tasks verdoppelt, also redundant. D. h. jede der sicherheitskritischen Tasks ist 
zum Einen im Speicherbereich 150 und zum Anderen im Speicherbereich 151 lokalisiert. 
Dabei kann insbesondere das erste Betriebssystem selbst als sicherheitskritisch eingestuft 
werden und wird somit ebenfalls in beiden Speicherbereichen abgelegt. D. h. in unserem 
Beispiel, dass das Betriebssystem OSEKtime OS zum Einen im Speicherbereich 150 und 
zum Anderen im Speicherbereich 151 jeweils abgelegt ist. Dabei sind die beiden ersten 
Speicherbereiche in einer besonderen AusfUhrung jeweils als eigener nicht flUchtiger 
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Speicherbaustein ROMl bzw. ROM2 ausgeftihrt, welche als ROM, PROM, EPROM, 
EEPROM, Flash-EPROM usw. ausgeflihrt werden k5nnen. 

Dabei ist nicht zwingend eine Doppelablage der sicherheitskritrischen Programme oder 
Tasks erforderlich. Diese kSmien auch durch Einsatz eines ECC-Codes (Error Code and 
Correction) abgesichert sein. Solche Methoden zur Fehlererkennung bei einem Speicher 
sind vielfaltig, wobei die Grundvoraussetzung die Absicherung mit einem 
Fehlererkennungs- bzw. Fehlerkorrekturcode, also einer Signatur darstellt. Ln einfachsten 
Fall kann diese Signatur nur aus einem Signaturbit, beispielsweise einem Paritybit 
bestehen. Andererseits kaim die Absicherung auch durch komplexere ED-Codes (Error 
Detection) wie einen Berger-Code oder einen Bose-Lin-Code usw., oder auch durch 
einen komplexeren ECC-Code wie beispielsweise einen Hamming-Code, usw. realisiert 
werden, urn durch entsprechende Bitzahl eine sicherere Fehlererkennung zu erm5glichen. 
Es kann aber auch als Codegenerator, beispielsweise eine Generatortabelle (fest 
verdrahtet oder in Software) verwendet werden, um bestimmten Eingangsmustem der 
Bits im Rahmen der Adresse ein gewimschtes Codemuster beliebiger LMnge zuzuordnen. 
Damit kann, insbesondere durch die Korrekturfiinktion die Datensicherheit im Speicher 
gewahrleistet werden und eine Doppelablage vermieden werden. Dennoch erfolgt eine 
redundante Abarbeitung der sicherheitskritischen Programme in den beiden 
AusfUhrungseinheiten, wodurch Fehler in den Cores, also den Ausfiihrungseinheiten 
durch Vergleich auf tJbereinstimmung erjSndungsgemaB aufgedeckt werden, wobei fllr 
diesen Fall der Erfindung enlgegen Figur 1 nur ein erster Speicherbereich notwendig ist. 

Die nicht sicherheitsrelevanten bzw. sicheiheitskritischen Programme oder Tasks werden 
zur LeistungserhShung auf beiden. AusfUhrungseinheiten, also CPUs verteilt berechnet 
und unter der KontroUe des jeweiligen Subbetriebsystems, also hier des OSEK- 
Subsystems ausgeftthrt. Insbesondere l^uft somit auf jede der beiden 
AusfUhnmgseinheiten ein unabhangiges Betriebssystem, hier ein unabhangiges OSEK- 
System. Der zweite Speicherbereich 180, in dem sich die nicht sicherheitskritischen 
Programme bzw. Tasks befinden, ist einfach vorhanden. Er wird von beiden 
AusfUhrungseinheiten 101 bzw. 102 beniitzt bzw. es wird von beiden auf ihn zugegriffen. 
Auch dieser zweite Speicherbereich kaim in einer besonderen AusfUhrungsform als 
eigener nicht fltichtiger Speicherbaustein ROMS ausgebildet sein und als ROM, PROM, 
EPROM, EEPROM, Flash-EPROM usw. ausgestaltet werden. 
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Dabei k5nnen die Speicherbereiche, also die ersten und zweiten Speicherbereiche so 
ausgebildet sein, dass die ersten Speicherbereiche bzw. der erste Speicherbereich (bei 
ECC Absicherung) beispielsweise zwischen 0 und X bezogen auf die Adressen und der 
zweite Speicherbereich von X + 1 bis Y ebenfalls bezogen auf die Adressen ausgebildet 
sind. Im weiteren wird von einem verdoppelten ersten Speicherbereich ausgegangen, 
wobei wie vorher erl^utert auch nur ein einzelner erster abgesicherter Speicherbereich 
Einsatz finden kann. Dann ist, wie schon gesagt, der erste Speicherbereich von 0 bis X 
doppelt eben jeweils in einem ersten Speicherbereich vorhanden. Dabei ist jeder erste 
Speicherbereich einer Ausfuhrungseinheit konkret zugeordnet. 

Im ersten Betriebsmodus, hier im Beispiel dem Sicherheitsmodus, laufen auf beiden 
Ausfiihrungseinheiten, also beiden CPUs 101 und 102 redundant und insbesondere 
synchron die sicherheitskritischen Prograxnme bzw. Tasks ab. Im Vergleichsmittel, dem 
Vergleicher 170, werden die jeweiligen CPU-ZustSnde miteinander verglichen. Dabei 
k6nnen bestinunten Progranmiphasen bestinmite ZustMnde zugeordnet sein, die dann 
zeitunkritisch, also zu einem beliebigen Zeitpunkt verglichen werden k5nnen, sofem 
diese zwischengespeichert und beispielsweise durch eine Kennung eindeutig zuordenbar 
sind, vergUchen werden kdnnen. Im bevorzugten Fall aber werden die 
sicherheitskritischen Programme respektive Tasks nicht nur redundant, sondem synchron 
abgearbeitet, so dass im Betrieb direkt ein Vergleich der jeweiligen Zustande der 
Ausfittirungseinheiten durchgefuhrt werden kaim. Die neuen Befehle und/oder Daten 
werden dann entsprechend aus dem jeweilig zugeordneten ersten Speicherbereich ISO 
respektive 151 geladen und abgearbeitet. hn Vergleicher 170 werden die CPU-Zustande 
auf tJbereinstimmung gepnift, wobei bei einer Abweichung der Zustande, die sich 
entsprechen soUten, auf Fehler erkannt wird. Als Fehlerreaktion ist zum Einen eine 
Fehleranzeige bezUglich des jeweiligen Systems, in dem die Prozessoreinheit verbaut ist, 
m5glich und zum Anderen Fehlerreaktionen wie ein Notbetrieb, also das Betreiben des 
Systems, dem die Prozessoreinheit innewohnt, in einem abgesicherten Notbetrieb, 
beispielsweise mit extra dafUr vorgesehenen Programmen und/oder Daten. Dabei kann 
auch bei einer weitergehenden Fehlerauswertung, z. B. einem n- aus m-Test, wobei n und 
m nattirliche Zahlen sind und n > 2 sowie m > n > m/2 oder auch einem 1 aus k-Code, 
wobei k einer natUrlichen Zahl > 1 entspricht. Wird beispielsweise durch solch einen Test 
eindeutig eine Ausfiihrungseinheit als fehlerhafl erkannt, kann als weitere Fehlerreaktion 
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auch ein Abschalten dieser Ausfuhrungseinheit und Notbetrieb der verbliebenen Einheit 
Oder ein Umschalten der fehlerhaften AusftUburungseinheit in den Notbetrieb erfolgen. 

Im Safety-Mode, also dem Sicherheitsmodus oder allgemeiner dem ersten 
Betriebsmodus, ist ein Zugriff der Ausfiihrungseinheiten nur auf Adressen bzw. Daten in 
den ersten Speicherbereichen zulSssig. D. h. die jeweilige Ausfuhrungseinheit darf im 
ersten Betriebsmodus nur auf den, insbesondere ihr zugeordneten, ersten Speicherbereich 
zugreifen. Dies wird durch Uberwachungsmittel, insbesondere die Umschaltmittel oder 
Mode-Selektoren 130 respektive 131 bzw. t^berwachungsmittel in den Mode-Selektoren 
130 und 131 tiberprttft. Treten hierbei Fehler auf, ist eine vergleichbare Fehlerreaktion, 
wie oben beschrieben, bezuglich eines Vergleichfehlers bei Obereinstimmung der CPU- 
ZustSnde denkbar und vorsehbar. D. h. aber auch, dass die Umschaltmittel, also hier die 
Mode-Selektoren 130 respektive 13 1 fur diesen Fall des ersten Betriebsmodus eine 
Verbindung in den jeweils zugeh5rigen ersten Speicherbereich 150 respektive 151 via 
Bus 140 respektive 141 herstellen bzw. eine entsprechende Zugriffsverlet2xmg 
Uberwachen. 

Im zweiten Betriebsmodus dieses Ausf&hrungsbeispiels werden die nicht 
sicherheitskritischen Programme respektive Tasks abgearbeitet. Auf beiden 
Ausfuhrungseinheiten, also den CPUs 1 und 2 (101, 102) laufen verschiedene nicht 
sicherheitskritische Programme. Dazu gehdrt beispielsweise auch das Betriebssystem 
selbst fUr den zweiten Betriebsmodus, also das OSEK-Subsystem. Die beiden 
Ausfiihrungseinheiten oder CPUs teilen sich damit einen nicht fitichtigen zweiten 
Speicherbereich, der, wie vorher beschrieben, ausgebildet sein kann. Allerdings ist jedem 
CPU ein eigener fltichtiger Arbeitsspeicherbereich RAMI und RAM2, 110 respektive 
111 zugeordnet Da entsprechende solche nicht sicherheitskritische Programme nicht oder 
nicht alle doppelt ausgefUhrt sind, besteht zumindest theoretisch die Mdglichkeit, dass 
sich beide AusfUhrungseinheiten gegenseitig durch Warten auf Freigabe einer Ressource 
blockieren. Dem ist durch geeignete Verteilung der Tasks bzw. Programme, 
beispielsweise nach einem Schedule auf die Ausfiihrungseinheiten 101 und 102 
entgegenzuwirken. Dabei sind auch weitere Mafinahmen wie beispielsweise ein 
abwechselnder ZugriflF oder ein abhMngig vom jeweiligen Programm priorisierter Zugriff 
usw. mdglich. In diesem zweiten Betriebsmodus, dem Leistungsmodus gem^ unserem 
AusfUhrungsbeispiel ist kein Zugriff auf eine Adresse im ersten Speicherbereich zul^sig. 
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Auch hier erfolgt die Oberprufung durch UberprQfungsmittel, insbesondere durch die 
Umschaltmittel, die Mode-Selektoren, oder aber die Oberprttfiingsmittel sind in den 
Mode-Selektoren separat ausgefUhrt. Bei einem erkannten fehlerhaften Zugriff im 
zweiten Betriebsmodus kann auch hier eine entsprechende Fehlerreaktion eingeleitet 
werden. Dabei ist zum Einen eine Fehlerreaktion entsprechend des ersten Betriebsmodus 
denkbar und vorgebbar. Dies ist insbesondere dadurch sinnvoU, da bei einem fehlerhafken 
Zugriff unter Umstanden ja auf sicherheitskritische Speicherbereiche zugegriffen wird. 
Zum Einen ist dies dadurch realisierbar, dass eine Verbindung zum zweiten 
Speicherbereich nur im zweiten Betriebsmodus aufgebaut wird xmd die Verbindung zu 
den ersten Speicherbereichen in diesen Betriebsmodus gekappt wird oder der Zugriff auf 
den ersten Speicherbereich anderweitig verhindert und niu* in den zweiten 
Speicherbereich erlaubt wird. 

Das Umschalten zwischen den Betriebsmodi ist mm ausfUhrlich in den Figuren 2 und 3 
nochmals beschrieben. 

Um von dem ersten Betriebsmodus, also hier dem Sicherheitsmodus oder Safety-Mode in 
den zweiten Betriebsmodus, also hier Leistungsmodus oder Performance-Mode zu 
gelangen, ist ein Zugriff auf eine vorgegeberie bzw. ausgezeichnete Adresse erforderlich, 
wodurch ein Wechsel in den zweiten Betriebsmodus erfolgt. Diese ausgezeichnete 
Adresse kann dabei im ersten Speicherbereich bei der Programmabarbeitung auftreten 
bzw. entsprechend von Aufien zugefiihrt werden. D. h. im ersten Betriebsmodus oder 
Sicherheitsmodus darf lediglich auf Adressen bzw, auf ein Programm im ersten 
Speicherbereich zugegriffen werden; falls in diesem Sicherheitsmodus auf eine andere 
Adresse z.B. im zweiten Speicherbereich zugegriffen wird, liegt em Fehler mit moglicher 
entsprechender Fehlerreaktion, wie oben beschrieben, vor. In Figur 2 ist dies noch einmal 
verdeutlicht Im Block 200 sind beide Ausfuhrungseinheiten 101 und 102 im ersten 
Betriebsmodus, also dem Sicherheitsmodus. In Abfrage 210 wkd iiberpriift, ob die 
Adresse des nachsten Befehls gleich der Triggeradresse der entsprechenden 
ausgezeichneten Umschaltadresse ist. Ist dies nicht der Fall, sind beide 
Verarbeitungseinheiten weiterhin im ersten Betriebsmodus und greifen somit jeweils auf 
die ersten Speicherbereiche 150, 151 zu. Entspricht allerdings die Adresse des nachsten 
Befehls und/oder Datums der Triggeradresse, so erfolgt im Block 220 die Umschaltung 
bzw. der Wechsel in den zweiten Betriebsmodus, den Leistungs- oder Performance- 
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Mode. Jede Ausfiihrungseinheit erhalt dabei auBerdem eine Adresse im zweiten 
Speicherbereich, bei welcher die Abarbeitung im zweiten Betriebsmodus fortzusetzen ist. 
Dabei wird die Vergleichseinheit bzw. das Vergleichsmittel 170 abgeschalten, also auBer 
Funktion gesetzt (disabled). Im Block 230 ist somit die erste Verarbeitungseinheit 101 im 
zweiten Betriebsmodus und im Block 23 1 die zweite Ausfiihrungseinheit 102 ebenfalls 
im zweiten Betriebsmodus, dem Performance-Mode. D. h. die einzige Moglichkeit, um 
vom Sicherheitsmodus, dem Safety-Mode in den Performance-Mode zu gelangen, ist im 
konkreten Beispiel beispielsweise ein Aufruf einer speziellen OSEKtime-Task T^rigger 
wie 2.B. der ttidle Task des OSEKtime Betriebssystems, respektive einer darin 
enthaltenen, als Trigger-Adresse ausgezeichneten Adresse, insbesondere der 
Anfangsadiesse dieses Progranamteils bzw. dieser Task. Insbesondere wenn die beiden 
Ausfiihrungseinheiten synchron arbeiten, geschieht dieser Aufruf in beiden CPUs 
notwendigerweise gleichzeitig. Die TTrigger*'^^'^ chen ttidle ist dabei z.B. ein 
Aufruf des OSEK-Schedulers, welcher im zweiten Speicherbereich 180 liegt. 
Beispielsweise in den Umschalteinrichtungen, also den Mode-Selektoren 130, 13 1 ist 
diese entsprechende Adresse als Triggeradresse eingestellt, urn in den Leistungsmodus zu 
wechseln. Dies wird wie gesagt im Block 210, also eben den Mode-Selektoren, den 
Umschaltmitteln geprdft. Damit diirfen zukCinflige Adresszugriffe eben bis zu einem 
emeuten Wechsel in den Sicherheitsmodus nur noch in den ROM-Bereich 180, also den 
nicht fltichtigen zweiten Speicherbereich erfolgen. 

In Figur 3 ist nun die Umschaltung bzw. der Wechsel vom Leistungsmodus, also dem 
Performance-Mode insbesondere zurQck in den ersten Betriebsmodus, den 
Sicherheitsmodus oder Safety-Mode dargestellt. In Block 300 ist Ausfiihrungseinheit 
101, also CPU 1 im zweiten Betriebsmodus, dem Performance-Mode. Ebenso ist in Block 
310 die zweite Ausfiihrungseinheit 102 in eben diesem Leistungsmodus, diesem zweiten 
Betriebsmodus dieses Ausfiihrungsbeispiels. In Block 320 bzw. Block 321 wird nun flir 
jede Ausfiihrungseinheit eine Unterbrechungsanforderung, ein Interrupt ausgelost, durch 
welchen eine Umschaltung in Block 330 von beiden Ausfiihrungseinheiten 101 und 102 
in den ersten Betriebsmodus, den Sicherheitsmodus, erfolgt. Dabei wird das 
Vergleichsmittel der Vergleicher 170 wieder eingeschalten, und in Block 340 laufen dann 
beide Ausfiihrungseinheiten wieder im Sicherheitsmodus, dem ersten Betriebsmodus. Die 
Unterbrechungsanforderung kann dabei zum Einen durch eine Zeitbedingimg, also einen 
Timerinterrupt ausgelost werden oder durch eine Zustands- respektive Ereignisbedingung 
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ausgelost sein. Das bedeutet, um vom Leistungsmodus in den Sicherheitsmodus zu 
wechseln, wird eine Unterbrechxmgsanforderung des ersten Betriebssystem OSEKtime 
generiert. Dieser Timerinterrupt des gegeniiber dem OSEK-Betriebssystem hoherprioren 
OSEKtime-Betriebssystems ist in beiden CPUs gleich programmiert, da auf beiden CPUs 
das gleiche OSEKtime-System iSuft. Insbesondere bei synchron laufenden OSEKtime- 
Systemen geht der Interrupt, also die Unterbrechungsanforderung bei beiden CPUs 
gleichzeitig ein. Wie gesagt, hat damit definitionsgemaB der OSEKtime-Scheduler- 
Interrupt eine sehr hohe, insbesondere die hochste PrioritSt. Beide 
Unterbrechungsanforderungen werden bei SynchronitSt dementsprechend gleichzeitig 
ausgefOhrt. Wie bereits erwShnt, wird mit Ausfiihrungen dieser 
Unterbrechungsanforderungen auch das Vergleichsmittel 170 ebenfalls wieder in 
Funktion gesetzt, also in den ersten Betriebszustand, den Sicherheitsmodus, umgeschaltet 
und die AusfUhrungseinheiten laufen insbesondere emeut redundant. 

Neben dem bereits genannten Timer-Interrupt kann auch ein Zustands- oder 
Ereignisinterrupt eingesetzt werden, um den genannten Betriebsmoduswechsel vom 
zweiten in den ersten Betriebsmodus zu bewerkstelligen. Dabei kann ein bestinmiter 
Zustand der AusfOhrungseinheiten beispielsweise euien hochprioren Interrupt ausl5sen, 
der dann flir beide Ausftthrungseinheiten Gultigkeit hat. Dies kam beispielsweise ein 
durch die Abarbeitung der Programme im ROM 180 generierter Zustand in einer CPU 
sein, die eine solch hochpriore Unterbrechungsanforderung, die auch fiir die zweite CPU 
gilt, auslost. Ebenso kann ein Ereignis, insbesondere auch ein von extern der 
Prozessoreinheit zugefiihrtes Ereignis einen solchen Interrupt und damit den 
Betriebsmoduswechsel ausl5sen. Bevorzugt ist die erste Variante mit dem Timermterrupt, 
aber der Zustands- oder Ereignisinterrupt, wie beschrieben, ist ebenfalls denkbar und 
hiermit offenbart. 

Damit ist entsprechend der Aufgabe eine optimierte Umschaltung zwischen zwei 
Betriebsmodi einer Prozessoreinheit mit zwei integrierten Ausfuhrungseinheiten 
erfindungsgemaB dargestellt, wobei das konkrete AusfUhrungsbeispiel nicht begrenzend 
im Hinblick auf die Grundideen des erfindungsgemaBen Gegenstandes wirken kann. 
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Anspriiche 

1 . Prozessoreinheit mit wenigstens zwei AusfUhrungseinheiten, wobei Umschaltmittel 
entbalten sind durch welche zwischen wenigstens zwei Betriebsmodi der Prozessoreinheit 
umgeschalten werden kann, dadurch gekennzeichnet, dass die Umschaltmittel derart 
ausgestaltet sind, dass ein Wechsel von einem ersten Betriebsmodus in einen zweiten 
Betriebsmodus dadurch ausgel5st wird, dass durch die Prozessoreinheit auf eine vorgegebene 
Speicheradresse zugegriffen wird. 

2. Prozessoreinheit nach Anspruch 1, dadurch gekennzeichnet, dass der erste 
Betriebsmodus einem Sicherheitsmodus ©atspricht, bei dem die zwei Ausfilhrungseinheiten 
gleiche Programme abarbeiten imd Vergleichsmittel vorgesehen sind, welche die bei der 
Abarbeitung der gleichen Progranmie entstehenden ZustSnde der AusfUhrungseinheiten auf 
Obereinstimmung vergleichen. 

3. Prozessoreinheit nach Anspruch 2, dadurch gekennzeichnet, dass die 
AusfUhrungseinheiten derart ausgebildet sind, dass diese im ersten Betriebsmodus die 
gleichen Programme synchron abarbeiten. 

4. Prozessoreinheit nach Anspruch 1, mit wenigstens drei getrennten 
Speicherbereichen, wobei in dem ersten Betriebsmodus jede Ausfuhrungseinheit jeweils mit 
einem jeder Ausfiihrungseinheit zugeordneten ersten Speicherbereich in Verbindung steht. 

5. Prozessoreinheit nach Anspruch 1, mit wenigstens zwei getrennten 
Speicherbereichen, wobei in dem zweiten Betriebsmodus beide AusfUhrungseinheiten nur mit 
einem, beiden AusfUhrungseinheiten zugeordneten zweiten Speicherbereich in Verbindung 
stehen. 
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6. Prozessoreinheit nach Anspruch 1 und 5, dadurch gekennzeichnet, dass die 
vorgegebene Speicheradresse auf die zugegriffen werden soil in dem zweiten Speicherbereich 
lokalisiert ist. 

7. Prozessoreinheit nach Anspruch 1, mit wenigstens zwei getrennten 
Speicherbereichen, wobei in dem ersten Betriebsmodus beide Ausfiihrungseinheiten nur mit 
einem, beiden Ausftihrungsemheiten zugeordneten ersten Speicherbereich in Verbindung 
stehen. 

8. Prozessoreinheit nach Anspruch 1 und 7, dadurch gekennzeichnet, dass die 
vorgegebene Speicheradresse als Triggeradresse im ersten Speicherbereich enthalten ist und 
die folgende Adresse auf die zugegriffen werden soil in dem zweiten Speicherbereich 
enthalten ist. 

9. Prozessoreinheit nach Anspruch 1 und 5, dadurch gekennzeichnet, dass 
t)berwachungsmittel, insbesondere die Umschaltmittel, vorgesehen sind, welche derart zur 
Uberwachung ausgebildet sind, dass die Auswertemittel im zweiten Betriebsmodus nur mit 
dem zweiten Speicherbereich in Verbindung stehen. 

10. Prozessoreinheit nach Anspruch 1 und 4, dadurch gekennzeichnet, dass 
t^erwachungsmittel, insbesondere die Umschaltmittel, vorgesehen sind, welche derart zur 
tJFberwachung ausgebildet sind, dass die Auswertemittel im ersten Betriebsmodus nur jeweils 
mit dem ersten Speicherbereich in Verbindung stehen. 

1 1 . Prozessoreinheit nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass jeder der 
Speicherbereiche in einem getrennten Speicherbaustein vorgesehen ist. 

12. Prozessoreinheit nach Anspruch 2, dadurch gekennzeichnet, dass die 
Vergleichsmittel bei tJbergang in den zweiten Betriebsmodus, der einem Leistungsmodus 
entspricht auBer Funktion gesetzt werden und ein Vergleich der ZustSnde nur im ersten 
Betriebsmodus erfolgt. 

13. Prozessoreinheit nach Anspruch 1, dadurch gekennzeichnet, dass 
Unterbrechungsmittel enthalten sind, welche derart ausgebildet sind, dass diese eine 
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Riickkehr in den ersten Betriebsmodus durch eine Unterbrechungsanforderung ermoglichen. 

14. Prozessoreinheit nach Anspruch 13, dadurch gekennzeichnet, dass die 
Unterbrechungsanforderung durch eine Zeitbedingung ausgel5st wird. 

15. Prozessoreinheit nach Anspruch 13, dadurch gekennzeichnet, dass die 
Unterbrechungsanforderung durch eine Zustandsbedingung ausgelost wird. 

1 6. Verfahren zur Umschaltung zwischen wenigstens zwei Betriebsmodi einer 
Prozessoreinheit mit wenigstens zwei Ausftthrungseinheiten dadurch gekennzeichnet, dass 
ein Wechsel von einem ersten Betriebsmodus in einen zweiten Betriebsmodus dadurch 
ausgelost wird, dass durch die Prozessoreinheit auf eine vorgegebene Speicheradresse 
zugegriffen wird. 

1 7. Verfehren nach Anspruch 1 6, dadurch gekennzeichnet, dass die 
AusfUhriingseinheiten im ersten Betriebsmodus die gleichen Programme synchron abarbeiten. 

1 8. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in beiden Betriebsmodi 
verschiedene Programme abgearbeitet werden, wobei im ersten Betriebsmodus 
sicherheitskritische Programme redundant von beiden Ausfuhrungsemheiten und im zweiten 
Betriebsmodus nicht sicherheitskritische Progranune abgearbeitet werden. 

19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass die 
sicherheitskritischen Programme redundant in den Ausfuhrungseinheiten jeweils 
zugeordneten ersten Speicherbereichen abgelegt sind. 

20. Verfahren nach Anspruch 1 8, dadurch gekennzeichnet, dass die nicht 
sicherheitskritischen Programme in einem einzigen zweiten Speicherbereich abgelegt sind 
und beide Ausfittirungseinheiten im zweiten Betriebsmodus nm auf den zweiten 
Speicherbereich zugreifen. 

2 1 . Verfahren nach Anspruch 1 6, dadurch gekennzeichnet, dass im ersten 
Betriebsmodus sicherheitskritische Programme redundant abgearbeitet werden und die dabei 
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entstehenden Zustdnde auf tlbereinstimmung verglichen werden. 

22. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in dem ersten 
Betriebsmodus von den Ausfiihrungseinheiten jeweils nur auf einen jeder Ausfilhrungseinheit 
zugeordneten ersten Speicherbereich zugegrifien wird. 

23. Verfahren nach Anspruch 16, mit wenigstens zwei getrennten Speicherbereichen, 
wobei in dem ersten Betriebsmodus beide AusfiUirungseinheiten nur auf einen beiden 
Ausfiihrungseinheiten zugeordneten ersten Speicherbereich zugreifen. 

24. Verfahren nach Anspruch 16 und 23, dadurch gekennzeichnet, dass die vorgegebene 
Speicheradresse als Triggeradresse im ersten Speicherbereich enthalten ist und die folgende 
Adresse auf die zugegriffen werden soli in dem zweiten Speicherbereich enthalten ist. 

25. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass in dem zweiten 
Betriebsmodus von beiden Ausfuhrungseinheiten nur auf einen, beiden Ausfiihrungseinheiten 
zugeordneten zweiten Speicherbereich zugegriffen wird, 

26. Verfahren nach Anspruch 16 imd 25, dadurch gekennzeichnet, dass iiberwacht wird, 
dass die Auswertemittel im zweiten Betriebsmodus nxir auf den zweiten Speicherbereich 
zugreifen. 

27. Verfahren nach Anspruch 16 und 22 oder 23, dadurch gekennzeichnet, dass 
iiberwacht wird, dass die Auswertemittel im ersten Betriebsmodus nur auf den ersten 
Speicherbereich zugreifen. 

28. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass eine Umschaltung von 
dem zweiten Betriebsmodus in den ersten Betriebsmodus durch eine 
Unterbrechungsanforderung erfolgt, wobei die Unterbrechungsanforderung durch eine 
Zeitbedingung oder eine Zustandsbedingung ausgelost wird. 
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Fig. 2 
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Fig. 3 



